Linux安全政策管理的常见缺口,搭建安全Linux系统

作者: 澳门金莎娱乐网站  发布:2019-11-14

这几年不管是审计员、监察主管还是IT经理都在说:要完善安全政策,减少信息风险。虽然这些话都是老生常谈了,但安全政策管理实施起来很简单,而且大多数企业都能实现。拿商业活动来举例,从中你可能会找到关于基本的密码、数据备份和电脑使用的条例。看上去似乎都没有问题。但是这些政策通常不涉及Linux安全。为什么会出现这种情况呢?

许多刚接触Linux系统的网络管理员发现,他们很难由指向点击式的安全配置界面转换到另一种基于编辑复杂而难以捉摸的文本文件的界面。本文列出七条管理员能够也应该可以做到的步骤,从而帮助他们建立更加安全的Linux服务器,并显著降低他们所面临的风险。

当管理层不把注意力放在信息安全上时,人们大多会产生“安全政策只要覆盖多数操作系统就可以了”的观点,这就导致了Linux安全政策的疏忽。这种观点都是建立在以下想法:“我们的关键商务程序——电子邮件服务器、金融系统和网站都在Windows上运行,而且我们的安全政策涵盖了这些系统。这些就是我们审查的内容。我们要Linux做什么呢?”

  请任何大型机构的网络管理员对Linux系统和网络操作系统(如Windows NT或Novell)进行比较,可能他会承认Linux是一个内在更加稳定,扩展性更强的解决方案。可能他还会承认,在保护系统免受外部攻击方面,Linux可能是三者中最难配置的系统。

管理层要为此负部分责任,因为他们没有对此进行管理,也没有说明自己和他人在信息风险最小化中的责任。但是网络管理员和Linux管理员也有一定的责任:他们创建自己的系统——或用作测试或用作产品——却不告之他人。这些系统通常都不在安全监管的范围之内。这就是循环的开始。

  这种认识相当普遍——许多刚接触Linux系统的网络管理员发现,他们很难由指向点击式的安全配置界面转换到另一种基于编辑复杂而难以捉摸的文本文件的界面。多数管理员充分认识到他们需要手工设置阻碍和障碍,以阻止可能的黑客攻击,从而保护公司数据的安全。只是在他们并不熟悉的Linux领域内,他们不确定自己的方向是否正确,或该从何开始。

当Linux安全成为问题时

  这就是本文的目的所在。它列出一些简易的步骤,帮助管理员保障Linux系统的安全,并显著降低他们面临的风险。本教程列出了七个这样的步骤,但您也可以在Linux手册和讨论论坛中发现更多内容。

这个循环看似不是问题,但实际上不是这样的。考虑以下的现象:

  保护根账户

网络管理员和开发人员使用的都是装有Linux系统的笔记本电脑,他们的加密硬盘里都存储涉及知识产权的敏感信息和客户数据:当原代码公开或数据外泄时会怎么样呢?

  Linux系统上的根账户(或超级用户账户)就像是滚石演唱会上的后台通行证一样——它允许您访问系统中的所有内容。因此,值得采取额外的步骤对它加以保护。首先,用密码命令给这个账户设置一个难以猜测的密码,并定期进行修改,而且这个密码应仅限于公司内的几个主要人物(理想情况下,只需两个人)知晓。

企业电子商务系统中的Linux应用程序服务器没有对一些常见攻击进行防御,更没有对安全漏洞进行测试:一个脆弱的密码系统可以导致未授权访问或者OpenSSL的非最新版受到拒绝服务攻击,从而导致很长的故障期,这该怎么办呢?

  然后,对/etc/securetty文件进行编辑,限定能够进行根访问的终端。为避免用户让根终端“开放”,可设置TMOUT当地变量为非活动根登录设置一个使用时间;并将HISTFILESIZE当地变量设为0,保证根命令记录文件(其中可能包含机密信息)处于禁止状态。最后,制订一个强制性政策,即使用这个账户只能执行特殊的管理任务;并阻止用户默认以根用户服务登录。

当用于保护网络免受攻击的Linux防火墙和网络监控系统被非监管人员或无责任心的人员任意修改时:当防火墙规则被“稍稍”修改以致网络访问切断,或者发生信息泄露,调查却发现审计日志丢失时又会怎么样呢?

  提示:关闭这些漏洞后,再要求每一个普通用户必须为账户设立一个密码,并保证密码不是容易识别的启示性密码,如生日、用户名或字典上可查到的单词。

笔者经常看到这些情况发生在Linux系统中。不管出于什么原因,这些系统通常都徘徊在重要的安全政策之外,这时我们不希望的情况就出现了。这些问题对各种商业活动都会产生巨大影响。现在谈的不仅是安全政策管理的最佳实施情况,而且是不断增加的电脑信息泄露、身份盗取和与规则遵从相关的法律案件。

  安装一个防火墙

Linux安全政策管理的必要性

  防火墙帮助您过滤进出服务器的数据包,并确保只有那些与预定义的规则相匹配的数据包才能访问系统。有许多针对Linux的优秀防火墙,而且防火墙代码甚至可直接编译到系统内核中。首先应用ipchains或iptables命令为进出网络的数据包定义输入、输出和转寄规则。可以根据IP地址、网络界面、端口、协议或这些属性的组合制订规则。这些规则还规定匹配时应采取何种行为(接受、拒绝、转寄)。规则设定完毕后,再对防火墙进行详细检测,保证没有漏洞存在。安全的防火墙是您抵御分布式拒绝服务(DDoS)攻击这类常见攻击的第一道防线。

Linux系统是所有商业网络的一部分,应该得到与其它系统同样的安全政策和安全监管。一些系统过去没有审计或证明出存在漏洞并不代表它们的安全就不重要。我们退一步看看自己的信息安全政策,这些安全政策的存在并不代表它们就涵盖了所有正确的领域,也不代表它们是健康、合理的。一个良好的安全政策管理验证程序首先应该明白哪些信息系统存在风险包括Linux系统)。基于这些危险和漏洞,然后决定哪个系统和商业领域需要哪种政策。接着为你的安全政策文件开发一个正式模板,以保证它们的一致性,这样在引用时会很方便,理解起来也很简单。

  使用OpenSSH处理网络事务

最后,周期性地检查有没有新的风险和监管政策。不仅要检查Windows或者其它经常使用的系统,而是检查所有的系统。所有的这些仅需对一个看似安全却可能出现问题的Linux系统进行安全监管。

  在网络上传输的数据安全是客户-服务器构架所要处理的一个重要问题。如果网络事务以纯文本的形式进行,黑客就可能“嗅出”网络上传输的数据,从而获取机密信息。您可以用OpenSSH之类的安全壳应用程序为传输的数据建立一条“加密”通道,关闭这个漏洞。以这种形式对连接进行加密,未授权用户就很难阅读在网络主机间传输的数据。

...

  禁用不必要的服务

本文由金沙澳门官网发布于澳门金莎娱乐网站,转载请注明出处:Linux安全政策管理的常见缺口,搭建安全Linux系统

关键词: 金沙澳门官网